Meeting

• 1: 2026
• 1.1: 29th Meeting
• 1.2: 30th Meeting
• 1.3: 31th Meeting
• 2: 2025
• 2.1: 25th Meeting
• 2.2: 26th Meeting
• 2.3: 27th Meeting
• 2.4: 28th Meeting
• 3: 2024
• 3.1: 21st Meeting
• 3.2: 22nd Meeting
• 3.3: 23rd Meeting
• 3.4: 24th Meeting
• 4: 2023
• 4.1: 17th Meeting
• 4.2: 18th Meeting
• 4.3: 19th Meeting
• 4.4: 20th Meeting
• 5: 2022
• 5.1: 13th Meeting
• 5.2: 14th Meeting
• 5.3: 15th Meeting
• 5.4: 16th Meeting
• 6: 2021
• 6.1: 9th Meeting
• 6.2: 10th Meeting
• 6.3: 11st Meeting
• 6.4: 12nd Meeting
• 7: 2020
• 7.1: 5th Meeting
• 7.2: 6th Meeting
• 7.3: 7th Meeting
• 7.4: 8th Meeting
• 8: 2019
• 8.1: 1st Meeting
• 8.2: 2nd Meeting
• 8.3: 3rd Meeting
• 8.4: 4th Meeting

Open Source Compliance를 위한 정책 및 프로세스가 이미 구축된 대기업들도 거대하고 복잡한 소프트웨어 공급망을 고려한다면, 아무리 완성도 높은 프로세스가 구축되어 있다고 하더라도 컴플라이언스 리스크에서 벗어나기 어렵습니다. 결국 소프트웨어 공급망 내 모든 기업의 Compliance 수준을 높이는 게 중요합니다. 이를 위해서는 이미 Open Source Compliance에 대해 이해도가 높은 기업들이 가진 자산을 공유하고, 다른 기업에서 쉽게 참가할 수 있도록 안내하는 길잡이를 해야 합니다.

기업이 보유하고 있는 Open Source Compliance에 대한 자산은 경쟁사에 공유한다고 해도 매출에 악영향을 미치지 않습니다. 반대로, 경쟁사의 Open Source Compliance 정책을 알아낸다고 해도 이를 기업의 이익 증대와 연결할 수 없습니다. 기업이 Open Source Compliance에 대한 Best Practice를 서로 공유한다면, 각 기업은 적은 비용과 리소스만을 투입해도 상당 수준의 Compliance를 달성하는 데 큰 효과를 얻을 수 있습니다.

국내 기업들도 이와 같은 아이디어에 공감해 지난 2019년 1월, LG전자, SK텔레콤, 카카오, 현대자동차, 삼성전자의 Open Source 담당자들이 참여한 첫 번째 OpenChain KWG(Korea Work Group) 모임이 개최되었습니다.

자세한 사항은 다음 페이지를 참고하세요.

1 - 2026

1.1 - 29th Meeting

일정

• 일정: 2026-03-24 (화) 오후2시~5시
• 장소: 라인플러스 (분당 서현역 근방 - https://maps.app.goo.gl/8GTPYtRugFRUgGk67 )

아젠다

Sponsor

Album

1.2 - 30th Meeting

• OpenChain
• AI Governance
• 금융권 Audit
• OSS Compliance

이런 분께 추천

• 금융·규제 산업에서 오픈소스 컴플라이언스 정책을 운영하는 담당자
• AI 도입 이후 오픈소스 거버넌스 범위를 재정의해야 하는 조직
• 감사·점검 대응을 위한 체크리스트와 증적 관리가 필요한 팀

아젠다

OpenChain Updates: 글로벌 동향

OpenChain Updates 시간에는 OpenChain Project 총괄 디렉터 Mary Wang이 원격으로 참여해 글로벌 동향을 공유했습니다. 표준 운영 현황과 함께, OpenChain을 CRA(EU 사이버 복원력법)와 AI 규제 대응을 연결하는 핵심 기반으로 설명했습니다.

표준과 커뮤니티 현황

ISO 5230과 ISO 18974 두 국제표준을 운영하며 전 세계 100여 개 기업이 채택했습니다. 25인 거버넌스 보드를 두고 있고, 2026년에는 Renesas가 신규 보드 멤버로 합류했습니다. OpenChain China Work Group 출범이 예정돼 있으며, OSCHINA를 포함한 신규 파트너도 합류했습니다.

ISO 5230 개정 현황

ISO 규정상 모든 표준은 5년마다 갱신해야 합니다. ISO 5230:2020이 5년을 지나 내용 변경 없이 공식 갱신됐습니다. 한편 지난 3년간 반영한 소규모 수정사항을 담은 최신본은 3.0이며, 2분기 보드 회의에서 이를 ISO에 공식 제출하기로 결정했습니다. 표준 명칭은 5230을 그대로 유지하고, 필요한 경우에만 개정 라벨을 붙이기로 했습니다.

다음 과제: CRA 대응

EU 사이버 복원력법(CRA, Cyber Resilience Act)은 EU에 소프트웨어를 판매하는 기업에 네 가지를 요구합니다. 설계 단계부터의 보안(Secure by Design), 모든 오픈소스 구성요소에 대한 투명성, 지속적인 취약점 관리, 보안 사고의 신속한 보고입니다. OpenChain은 이에 대응하기 위해 Business Operation Work Group을 신설했고, 현재 주제가 CRA입니다. 조직별 CRA 준수 격차를 조사하고 OpenChain이 지원할 수 있는 방안을 찾고 있습니다.

다음 과제: AI 거버넌스

AI 영역으로도 범위를 넓히고 있습니다. EU AI Act에 대응하고 ISO 42001, 42002, 42003과 연계하며 OpenChain AI Work Group을 운영합니다. OpenChain AI SBOM 자가 인증(Self Certification)도 추진하고 있습니다.

그 밖의 소식

12월 OCS(Open Compliance Summit)에서 OpenChain 소개 영상을 제작할 예정이며, ‘Adopt our standards’ 웹페이지를 개편했습니다. OpenChain and Friends 웨비나도 진행 중입니다. 표준 채택을 시작하려는 조직은 OpenChain 안내 페이지를 참고하시기 바랍니다.

발표자 소개

하헌관 매니저

카카오뱅크 · Session 1

카카오뱅크 오픈소스 거버넌스, DevSecOps, CMDB 운영

김강보 팀장

안랩 · Session 2

안랩 연구인프라팀에서 팀장으로 근무하며, CI/CD 인프라 구축을 비롯해 OSS(Open Source Software) 검증, 정적 분석, 개발 프로세스 정립, 배포 및 서명, 특허와 외부 과제 관리 등 R&D 전반의 개발 지원 환경을 설계·운영하고 있습니다. 특히 보안 제품을 구성하는 오픈소스의 컴플라이언스 준수와 보안 취약점 대응, 그리고 정적 분석을 중심으로 한 개발부터 배포까지 이어지는 CI/CD 체계 구축을 주요 업무로 담당하고 있습니다.

이민애 매니저

카카오뱅크 · Session 3

카카오뱅크 오픈소스 거버넌스, 사내 IT 업무 관련 정책 담당, 내외부감사 대응

Sponsor

이번 미팅 후원

Album

1.3 - 31th Meeting

• OpenChain
• OSS Compliance
• Korea Work Group

이런 분께 추천

• 기업에서 오픈소스 컴플라이언스 정책을 운영하거나 새로 도입하려는 담당자
• OpenChain(ISO 5230), SBOM, 보안 취약점 대응 실무를 고민하는 조직
• 다른 회사의 사례를 듣고 실무 네트워크를 넓히고 싶은 분

아젠다

세부 프로그램은 준비 중입니다. 확정되는 대로 이 페이지에 공개하고 메일링리스트로 안내드립니다. 발표하거나 함께 논의하고 싶은 주제가 있으면 메일링리스트로 제안해 주세요.

Sponsor

이번 미팅 후원

2 - 2025

2.1 - 25th Meeting

일정

• 일정: 2025-03-25 (화) 오후2시~5시
• 장소: 한국디지털인증협회 (여의도 파크원빌딩 타워2 48층) - https://maps.app.goo.gl/YnxTkz8LjHPXFJBv6

아젠다

Sponsor

참석 기업

• 42dot
• 국민은행
• 금융결제원
• 부산은행
• 삼성전자
• 삼성SDS
• 신한DS
• 안랩
• 카카오
• 카카오뱅크
• 한글과컴퓨터
• 현대모비스
• 현대오토에버
• 현대자동차
• CJ 올리브네트웍스
• CJ 제일제당
• CJ ENM
• CJ 주식회사
• CJCGV
• ETRI
• KT DS
• LG전자
• LINE+
• NAVER
• NHN
• SK주식회사
• SK텔레콤

Album

2.2 - 26th Meeting

일정

• 일정: 2025-06-16 (월) 오후2시~5시
• 장소: 삼성전자 서울R&D캠퍼스 - https://maps.app.goo.gl/ZsQWvnSc5MPXKVcN8

아젠다

Sponsor

참가기업

• 42dot
• 두산 디지털이노베이션
• 현대모비스
• 안랩
• CJ CGV
• CJ제일제당
• CJ주식회사
• 한컴
• 현대오토에버
• 현대모비스
• 현대자동차
• 카카오
• 금융결제원
• 국민은행
• KT DS
• LG AI Research
• LG전자
• 라인플러스
• 네이버
• 엔씨소프트
• NHN
• 삼성전자
• 삼성SDS
• 신한DS
• SK텔레콤

Album

2.3 - 27th Meeting

일정

• 일정: 2025-10-21 (화) 오후3시~4시50분
• 장소: 오픈소스 테크데이 2025 4F 창조룸2 (aT센터 - https://maps.app.goo.gl/CcH1kxo8qfQrgp8i8 )

아젠다

Sponsor

참석기관

• 금융결제원
• 네이버
• 두산디지털이노베이션
• 라인플러스
• 삼성전자
• 삼성SDS
• 신한DS
• 안랩
• 카카오
• 한글과컴퓨터
• 현대모비스
• 현대오토에버
• 현대자동차
• CJ제일제당
• CJ주식회사
• CJCGV
• ETRI
• KTDS
• LG전자
• NHN
• SK텔레콤

Album

2.4 - 28th Meeting

일정

• 일정: 2025-12-09 (화) 오후2시~4시50분
• 장소: 한컴타워 (판교 - https://maps.app.goo.gl/Nq3XHZtPrg9Zvtzn7 )

아젠다

Sponsor

Album

3 - 2024

3.1 - 21st Meeting

일정

• 일정: 2024-03-26 (화) 오후2시~5시
• 장소: 카카오 판교아지트 지하1층 세미나실

아젠다

Sponsor

참석사

• 국민은행
• 금융결제원
• 라인플러스
• 삼성전자
• 안랩
• 카카오
• 카카오뱅크
• 티맵모빌리티
• 한글과컴퓨터
• 현대모비스
• 현대오토에버
• 현대자동차
• CJ올리브네트웍스
• CJ주식회사
• ETRI
• kt ds
• LG전자
• NAVER
• NHN
• SK주식회사
• SK텔레콤

Photo

Full Album

3.2 - 22nd Meeting

일정

• 일정: 2024-06-20 (목) 오후2시~5시
• 장소: CJ 인재원 4층 Auditorium

아젠다

Sponsor

참석사

• 국민은행
• 금융결제원
• 네이버
• 라인플러스
• 삼성전자
• 삼성SDS
• 신한데이터시스템
• 안랩
• 카카오
• 텔레칩스
• 티맵모빌리티
• 한컴
• 현대모비스
• 현대오토에버
• 현대자동차
• CJ주식회사
• CJ올리브네트웍스
• ETRI
• KB데이타시스템
• LG전자
• NHN
• SK텔레콤
• SK주식회사

Photo

3.3 - 23rd Meeting

일정

• 일정: 2024-09-10 (화) 오후2시~5시
• 장소: ETRI 서울사무소

아젠다

Video

OpenChain Global Update, Shane Coughlan

Sponsor

참석사

Photo

3.4 - 24th Meeting

일정

• 일정: 2024-11-26 (화) 오후2시~5시
• 장소: LG AI 연구원

아젠다

Sponsor

참석사

• 국민은행
• 라인플러스
• 삼성전자
• 신한DS
• 카카오
• 티맵모빌리티
• 한국디지털인증협회
• 현대모비스
• 현대자동차
• AhnLab
• Cj주식회사
• ETRI
• HANCOM
• KTDS
• LG AI Research
• LG전자
• NAVER
• NHN
• SK텔레콤

Photo

4 - 2023

4.1 - 17th Meeting

일정

• 일정: 2023-03-28 (화) 오후2시~4시
• 장소: 라인플러스 (경기도 성남시 분당구 서현1동)

Agenda

1부 발표 세션

2부 Mini Summit - “오픈소스 관리 자동화 도구”

• 리뷰 : https://devocean.sk.com/opensource/techBoardDetail.do?ID=164691

Sponsor

Photo

4.2 - 18th Meeting

일정

• 일정: 2023-06-22 (목) 오후2시~5시
• 장소: 카카오 판교아지트 (경기도 성남시 분당구 판교역로 166)

아젠다

• 후기 : 오픈소스는 저희에게 맡겨주세요! OpenChain Korea Work Group 모임 후기

Sponsor

참석 기업/기관

• 국민은행
• 금융결제원
• 라인플러스
• 삼성전자
• 안랩
• 엔씨소프트
• 카카오
• 카카오뱅크
• 한글과컴퓨터
• 현대오토에버
• 현대모비스
• 현대자동차
• CJ
• ETRI
• KT
• KTDS
• LG전자
• NIPA
• SK텔레콤
• SK하이닉스

Photo

Full Album

4.3 - 19th Meeting

일정

• 일정: 2023-09-19 (화) 오후1시30분~5시
• 장소: 현대오토에버 (서울특별시 강남구 테헤란로 510)

아젠다

세션 0. Intro & Update

세션 1. 현대차그룹과 오픈소스

세션 2. Best Practice

세션 3. 그룹 토의

Sponsor

참석 기업/기관

• AhnLab
• CJ올리브네트웍스
• ETRI
• KB데이타시스템
• KT ds
• LG전자
• NHN
• SK주식회사
• SK텔레콤
• 국민은행
• 금융결제원
• 네이버
• 라인플러스
• 삼성SDS
• 삼성전자
• 에스코어
• 오픈업
• 정보통신산업진흥원
• 지니언스
• 카카오
• 카카오뱅크
• 한글과컴퓨터
• 현대모비스
• 현대오토에버
• 현대자동차

Review

• 국내 기업 오픈소스 담당자가 현대오토에버에 모인 이유?

Photo

Full Album

4.4 - 20th Meeting

일정

• 일정: 2023-11-15 (수) 오후2시~4시30분
• 장소: 삼성전자 서초사옥

아젠다

Video

OpenChain Global Update, Shane Coughlan

Group Discussion

Sponsor

참석 기업/기관

• 국민은행
• 금융결제원
• 기아
• 네이버
• 라인플러스
• 삼성전자
• 삼성SDS
• 안랩
• 에스코어
• 엔씨소프트
• 정보통신산업진흥원
• 카카오
• 카카오뱅크
• 티맵모빌리티
• 한국전자통신연구원
• 한글과컴퓨터
• 현대모비스
• 현대오토에버
• 현대자동차
• KT
• KTDS
• LG AI연구원
• LG전자
• NHN
• SK텔레콤

Photo

Full Album

5 - 2022

5.1 - 13th Meeting

일정

• 일정: 2022-03-16 (수) 오후2시~4시
• 장소: Zoom (접속 방법은 별도 메일 공지)

Agenda

Video

OpenChain Update

OpenChain KWG Update

오픈소스 최신 동향

카카오와 카카오뱅크의 ISO/IEC 5230 인증 사례 공유

현대모비스 오픈소스 관리체계 및 현안

오픈소스 라이선스 사전/실시간 검증도구 오픈소스화 추진계획

Minutes

OpenChain Update (Shane Coughlan / Linux Foundation)

1. OpenChain ISO/IEC 5230 Conformance 신규 인증 기업
   • BlackBerry
   • SAP
2. OpenChain Governing Board 신규 가입 기업
   • NEC
   • Block
3. 오픈소스 보안 취약점에 대한 표준안 제정
   • Security Specification Draft 버전 작성
   • 글로벌 커뮤니티에서 다양한 시각으로 피드백 요청
4. OpenChain 커뮤니티 활성화 방안 모색
   • 한국, 일본 OpenChain 커뮤니티처럼 유럽의 커뮤니티도 활성화될 수 있도록 방안이 모색되어야 함

OpenChain KWG Update (장학성 / SK Telecom)

1. Planning Group 22년 1분기 모임 진행
   • Agenda
     • 1분기 KWG 모임 준비
     • 2022년 Linux Foundation 지원 예산 활용 방안
2. Tooling Group 1st 모임 진행
   • Agenda
     • SCANOSS 소개
     • 사전검증/실시간검증도구 소개
3. 새해 선물 from 현대 모비스 (Thanks to 전미진님,이영준님 :) )
4. OpenChain 국제 표준 인증 획득
   • 카카오
   • 카카오뱅크
5. OpenChain KWG Charter 초안 작성
   • 주요 내용으로는 Membership, Organization, 선거 등의 내용으로 정관 문서 작성 중
   • 2분기 모임에서 확정 후 시행 예정
   • https://openchain-project.github.io/OpenChain-KWG/about/charter/
6. Blog Update
   • 상용 AI 서비스에 공개 Dataset을 사용해도 되나요?

오픈소스 최신 동향 (Robin(황민호) / Kakao)

1. 러시아의 우크라이나 침공을 대하는 오픈소스 생태계
   • 최근 글로벌 IT 업계 흐름
     • 아마존, MS, 구글, 오라클 등 글로벌 IT 기업들이 러시아 보이콧에 합류하고 있음
     • 러시아는 IT기업들이 보이콧을 하자 불법복제 SW를 합법화를 추진하였다고 보도함
   • 오픈소스 생태계에서의 흐름
     1. OpenBLAS는 러시아산 프로세서 지원을 제거하겠다고 함
        • 관련 GitHub 이슈 링크: https://github.com/xianyi/OpenBLAS/issues/3551
        • 하지만, 커뮤니티 상에서 이슈가 제기된 것이고 실제 지원을 제거하는 계획은 없는 것으로 확인됨
     2. GitHub 공개 피드백 토론
        • GitHub은 러시아 개발자 접근을 제한해야 한다는 공개 토론이 열렸음
        • 러시아의 GitHub 사용자들을 제재하는 것은 올바른 방법은 아니라는 부정적 의견이 대부분이었음
        • GitHub 담당자가 GitHub 정책에 대해 토론 후 종료시킴
        • 참고) 2019년 미-중 무역 전쟁 중에도 GitHub이 무역제재 대상 국가의 접속을 차단하자 중국은 자체적으로 Gitee 라는 사이트를 구축하였음
     3. Scarf 러시아 오픈소스 패키지 엑세스 제한
        • 오픈소스 패키지 배포 제한을 두는 방식으로 보이콧을 표현하였고, 타 패키지 매니저도 참여하기를 희망함
     4. Libreplanet 토론
        • 러시아에 우리 소프트웨어 access를 제한해야 하는가 라는 토론이 있었고, 리차드 스톨만은 FSF의 4가지 자유에 따라 프로그램 실행의 자유를 제한해서는 안된다고 주장함
        • 리차드 스톨만과 다른 입장을 가진 여러 의견도 등장하였음
     5. MeetingBar 오픈소스 프로젝트의 기금 마련 운동
        • MacOS 메뉴바 오픈소스 라이브러리인 MeetingBar 프로젝트에서 우크라이나 군대를 위한 기금 마련 운동 참여

카카오와 카카오뱅크의 ISO/IEC 5230 인증사례 공유 (Violet(황은경) / Kakao, Arlo(하헌관), May(이민애) / KakaoBank)

1. 카카오의 인증사례

   • OpenChain Study
     • 2019년부터 스터디는 시작하였고, OpenChain 2.1이 발간된 후부터 본격적으로 스터디 시작
   • 이슈 할당
     • 각 Spec 항목별로 Jira 이슈를 할당하였음
     • 기존 정책을 보완해야 할 점들을 정리하였음
   • 프로젝트 홀딩
     • OpenChain Specification은 각 항목이 연결되어 있는데, 각 항목별로 담당자를 지정한 것이 문제였음
     • 전체 스펙에서 필요한 것들을 리스트업하고 주제 별로 일을 나누었어야 함
   • OpenChain 인증 자료 정리
     • https://haksungjang.github.io/docs/governance_iso5230/를 참고하여 정책 문구나 프로세스를 정리할 수 있었음
     • 보완이 필요한 내용을 따로 정리해서 논의 (OSRB 구성, 문서화된 절차 등)
   • 정책 및 프로세스 정리
     • SKT의 자료를 참고하여 Kakao의 내부 규정에 맞게 변경하였음
   • OpenChain KWG Conformance Group 리뷰
     • Self Certification 순서대로 내용을 설명하면서 Q&A 진행
     • 주요 Q&A
       • 책임자가 의사결정자로 지정해야 하는가? 조직의 내부 상황에 맞게 지정하면 됨
       • 보안취약점 도구 구축이 필수는 아닌 것 같은데 책임과 역할을 어떻게 정리해야 하는가? ISO 인증 기준에 보안과 관련해 정해진 내용은 없음
       • 오픈소스 전사 가이드를 Wiki에 정리하였는데, 그 외 경로도 필요한지? 구성원이 1년에 한 번 정도는 반드시 열어보게 하는 절차가 있으면 좋을 것임
       • 오픈소스 교육 평가 데이터가 인증서에 필요한가? 자료를 요구하는 경우는 거의 ㅇ벗기도 하지만, 평가 후 기준에 도달하도록 해야 함
       • OSPO는 교육 과정이 따로 필요한가? 필수로 요구되지는 않음
   • OpenChain 인증
     • Self Certification 체크 후 OpenChain General Manager인 Shane에게 인증을 알리고 어나운스 해달라는 메일 발송
     • Shane에게 로고와 인용문을 전달
     • PR 담당자와 보도자료 준비하는 과정이 필요하고, OpenChain 웹사이트에 등록할 영문 인용문을 준비해야 함

2. 카카오뱅크의 인증사례

   • 오픈소스 도구 검토
     • FOSSID 검토 및 오픈
   • 오픈소스 컴플라이언스 프로세스 마련
     • FOSSID API를 활용하여 자동화
     • 고지문 발급 자동화
     • 고지문 웹/앱 테스트 환경
   • 오픈소스 조직, 정책, 교육 준비
     • NCSOFT의 OpenChain 인증 사례 발표를 본 후 작년 11월 중순부터 OpenChain 준비
     • Specification의 조직, 정책, 도구, 교육, 프로세스에 대한 항목을 나열하고, 요구사항 충족을 위한 준비
     • 법무 및 보안팀, 기술 전략팀 담당자들과 협의하여 조직 셋업
     • Wiki에 프로세스나 가이드 공개
   • KWG 리뷰 및 PR팀 협의, 기타 인터뷰
     • OpenChain KWG 그룹 리뷰 후 PR팀과 협의하여 인증 선언
     • 이후 카카오 내 DevCon에서 발표와 인터뷰도 진행하였음
   • Lessons Learned
     • 잘한점: KWG 그룹에 참여하여 빠른 인증 준비가 가능했고, 자동화 환경을 잘 구축하였음
     • 아쉬운점: 사내 교육 시스템이 없어서 직접 교육자료를 만들어서 세미나 형태로 개발자 교육을 했었는데 체계화된 교육이 필요하고, 금융업이다 보니 기여나 공개에 소극적이었음
     • 인증 이후 반응: 국제표준을 획득함으로써 신뢰도가 높아지고 인터뷰를 진행하면서 오픈소스 컴플라이언스에 대해 홍보가 되었음
     • 계획: Olive CLI 도입 및 망분리 금융망 도입

현대모비스 오픈소스 관리 체계 및 현안 (전미진 / 현대모비스)

1. History
   • 2012년에 타 용도로 구축된 서버로 오픈소스 관리를 2018년까지 하고 있었음
   • 2018년까지는 오픈소스 관리, 규정 개정과 보고 정도만 진행하고 있었음
   • 2019년에 OpenSource Summit을 참여한 후 오픈소스 관리 업무를 확장하게 되었음
   • 최근에는 현대모비스에서 고객사에게 제품을 공급하듯, 현대모비스로 소프트웨어가 임베디드된 제품이 공급어서 공급망 관리가 필요하다는 것을 인지하였고, 자동화에 대한 니즈도 있음
2. Scope
   • 오픈소스 뿐만 아니라 보안에 대한 검토도 요청하기도 하는데, 사내에 오픈소스와 보안 조직이 분리되어 있음
   • 하지만 보안 조직과도 협업을 해야 원활한 오픈소스 컴플라이언스가 될 것으로 생각함
3. 프로세스
   • 설계자가 소스코드를 업로드
   • 오픈소스 관리팀에서 툴 DB와 자동 분석
   • 별도의 검증 기관에서 식별 완료 및 보고서 생성
   • 오픈소스 관리팀에서 검증 보고서 확인 후 규정 준수 여부 검토
   • 설계자는 시정 조치 및 수행
   • 오픈소스 관리팀에서 고지 정보 공개
4. 21년 추진 과제
   • 자동차에 들어가는 부품이 무수히 많고 공급망이 많이 얽혀 있어서 공급망 관리에 중점을 두고 진행함
5. 22년 추진 과제
   • OpenChain 인증 준비
   • 소스코드 및 바이너리 자동 검증 자동화 시스템 구축

오픈소스 라이선스 검증도구 오픈소스화 추진계획 (정윤환, 홍문기 / 삼성전자)

1. 배경
   • 기존 사후 검증에 이슈 발생 시 재개발 및 상품화 지연 이슈 발생
   • 사전/실시간 검증 절차를 도입하여 라이선스 검증 시점 shift-left
   • 사전/실시간 검증의 효율화, 안정성 강화 추진하고자 함
2. 방법
   • 자유로운 사용과 기여가 가능한 거버넌스 체제 구축
   • 오픈소스 기반 협력을 통해 검증 기능 강화하고 DB 확대
3. 목표
   • 검증 도구 협력 개발 및 공동 DB 구축
   • 오픈소스 컴플라이언스 표준 정책 수립
   • 중소기업, 기관, 개인의 오픈소스 검증 지원
4. 오픈소스화 대상
   • 오픈소스 및 라이선스 DB
   • 라이선스별 사용 정책 관리 도구
   • 실시간 검증 도구 및 가이드 문서
   • 사후 검증 도구 및 가이드 문서
5. 아키텍처
   • 마이크로 서비스 구조로 사용 정책과 오픈소스, 라이선스 데이터 베이스 별도 구성
6. 오픈소스 추진 계획
   • 4월: Founder 모집 (운영/기술파트)
   • 5월: 오픈소스 추진 협의
   • 6월: 프로젝트 릴리즈 준비
   • 9월: v1.0 릴리즈
7. 요청사항
   • 오픈소스 추진 협의에 참석을 원하시거나 정보를 받고 싶은 분들은 삼성전자 오픈소스 사무국 (oss.ofice@samsung.com) 으로 요청 (~4/15)
     • 이름/소속/전화번호/이메일/참여 목적/관심 분야/하고 싶은말

Sponsor

Platinum

5.2 - 14th Meeting

일정

• 일정: 2022-06-21 (화) 오후2시~4시
• 장소: Zoom (접속 방법은 별도 메일 공지)

Agenda

소그룹 모임 : 2개 세션으로 구성

Session 1. 주제 토론

• 주제 1: 오픈소스 라이선스 이슈
• 주제 2: ISO5230 인증 준비
• 주제 3: 사내 개발 문화
  • 기술 블로그 운영/활성화 방안
  • 자발적인 오픈소스 개발 문화 형성
• and others

Session 2. Just small talk

Sponsor

Photo Gallery

Video

OpenChain Update

OpenChain KWG Update

SFC vs. Vizio, GPL 소송 판결 겉핥기

Quick session : FOSSID 사용팁

Minutes

OpenChain Update (Shane Coughlan / Linux Foundation)

1. Open Source Safety Foundation (OpenSSF)
   • 현재까지 1,100만 달러가 넘는 투자를 받았음
   • 중국과 일본의 기업에서도 활발하게 논의되고 있음
   • 6월말에 이사회에서 보안도 Specification으로 지정할 것인지에 대한 사안이 결정될 예정
2. 소기업에서 OpenChain에 접근하기 위한 아이디어 요청
   • 최근에 OpenChain ISO 기준에 많은 기업들이 관심이 있음 (특히 독일)
   • 그러나 작은 기업에서 어떻게 OpenChain을 접근할 수 있는지 고민이 필요함
   • 전세계 여러 기업에서 자유로운 의견을 주시면 좋을 것
3. Markdown 문서 작성 도입
   • 쉽게 제출하고, 편집할 수 있는 문서 작성 방법으로 Markdown 검토
   • 점진적으로 Markdown 형식으로 변환하려 함

OpenChain KWG Update (장학성 / SK Telecom)

1. 2분기 정기 모임을 준비하기 위한 운영진 모임 있었음(5/20)

2. Tooling Group 모임이 2회 진행됨 (4월/5월)

   • 4월 세미나
     • FOSSID 리뷰 (카카오)
     • 오픈소스 검증 도구 오픈소스화 계획 현황 (삼성전자)
     • 개방형 오픈소스 컴플라이언스 서비스 플랫폼 개발 및 확산 계획 (ETRI)
   • 5월 세미나
     • LINE의 FossLight 도입 경험 (LINE Plus)
     • OLIVE CLI 소개 (카카오)
     • 오픈소스 라이선스 사전/실시간 검증도구 데모 (삼성전자)

3. Conformance Group 모임 예정 (7/19)

   • ISO/IEC 5230에 적합한 프로그램 구축을 위한 Community 차원의 협업
   • 비정기 미팅이며, 1~2시간 가량 온/오프라인 미팅이 있을 예정
   • 질의응답 형태의 이슈 논의 & 협업 방식으로 진행 예정
   • 현재 가입 멤버는 SK Telecom, LG전자, 카카오, 현대오토에버 등이 있으며, 가입을 희망하신다면 장학성(haksung@sk.com)으로 문의 바람

4. 글로벌 OpenChain 굿즈 제작 (designed by Soim)

5. OpenChain Korea Work Group Charter 확정

   • 주요 내용: Membership, Organization, 선거
   • Membership
   • 기업/기관 담당자에 한하여 참여
   • Subgroup Member는 기업/기관 담당자가 아니더라도 누구나 참여 가능
   • Organization
   • 운영 위원회: 그룹을 운영하는 운영진 역할 (7명으로 제한)
   • 선거
   • 운영위원회 선출
   • 상세 내용은 링크에서 확인 가능

6. 운영위원회 선출

   • 역할: 정책 수립, Charter 작성, 정기 미팅 운영, 주요 의사결정 수행, 예산 집행 등
   • 기존 Planning Group 멤버 5인 + 카카오, 삼성전자 두분 추천 (황은경님, 정윤환님)

SFC vs Vizio 판결 겉핥기 (장학성 / SK Telecom)

법률 전문가의 견해가 아니므로 용어나 해석에 오류가 있을 수 있음

1. 기초 배경 지식
   • 저작권법과 계약법의 차이
   • 저작권법: 이용권자는 저작권법이 허락하는 이용 방법 및 조건에 따라 저작물 이용 가능
   • 계약법: 라이선서와 라이선시 간의 합의로 계약이 됨 (오픈소스가 이에 해당됨)
   • 미국 연방법원과 주법원
   • 주법원: 주마다 있고, 주민의 개인적인 삶에 영향을 미치는 사건을 다룸
   • 연방법원: 제한된 사건만 다루고, 헌법, 연방범죄, 군법, 지적재산권, 저작권법 등을 다룸
2. SFC vs Vizio 판결
   • SFC: 계약 위반 + 선언적 판결을 요청함
   • Vizio: GPL 위반은 저작권법 침해이고, 주 법원에서 다룰 사안이 아니라고 반박함
   • 미국 법원은 Motion to Remand를 승인하여 주 법원으로 환송함
3. 주목할만한 점
   • 이번 소송은 저작권법이 아닌 계약법으로 논의
   • 주법원에서 논의됨
   • 저작자가 아닌 제품의 구매자가 소송을 제기함
   • SFC = Third Party Beneficiary (“SFC가 GPL 계약의 제삼자 수혜자"라는 논리로 소송이 제기됨)
4. 연방 법원 판결
   • 이 소송이 연방 저작권법에서 다루는 일반적인 범위에 해당된다면 연방 관할권을 생성하지만,
     연방 저작권법이 선점하지 않는다고 주장하려면 소송 원인이 저작권이 보호하는 권리 이외의 권리를 보호해야 한다.
   • 연방법원 판결 결과, 주 법원으로 환송 승인하였으며 아직 소송 진행 중

FOSSID Ignore Rule 적용하기 (Sean / Kakao)

1. Ignore Rule 적용의 진실
   • API문서나 가이드에 디렉토리/파일에는 정규식이 지원되고 확장자는 정규식이 지원되지 않는다고 나와있음
2. 디렉토리 규칙
   • 정규식을 고려하지 않고 규칙을 적용하면 잘못된 경로가 제외될 수 있음
   • 정규식을 고려해서 규칙을 적용해야 함 (예) ^[.]git($1/)
3. 파일 규칙
   • . 을 임의의 문자로 알 수 있어서 잘못된 파일이 제외될 수 있음
   • 정규식을 고려해서 규칙을 적용해야 함 (예) build[.]gradle
4. 확장자 규칙
   • 정규식이 지원되지 않음
   • 확장자 이름만 작성하면 됨 (예) gradle 이라고 적용하면 build.gradle 파일이 제외됨

Photo

5.3 - 15th Meeting

일정

• 일정: 2022-09-21 (수) 오후2시~4시
• 장소: Zoom (접속 방법은 별도 메일 공지)

Agenda

Sponsor

Photo Gallery

Video

5.4 - 16th Meeting

일정

• 일정: 2022-12-02 (금) 오후2시~4시
• 장소: Zoom (접속 방법은 별도 메일 공지)

Agenda

Sponsor

Minutes

발표 요약 : GitHub Copilot이 집단소송을 당했다고?

• GitHub인수부터 Copilot 출시까지 MS의 전략
• Copilot 이란?
• Copilot 집단 소송
  • 원고 : GitHub 저작권 소유자 집단 vs 피고 : Microsoft, GitHub, OpenAI 등
  • 원고측이 주장하는 피고측의 위반 사항들 법적근거 리뷰

발표 요약 : OLIVE Platform Code Snippet 분석 기능 소개

• Olive Platform (https://olive.kakao.com) 소개
  • 2021년 6월부터 카카오에서 서비스 중인 오픈소스 관리 플랫폼 (무료)
• SCANOSS (https://www.scanoss.com/) 활용 Code Snippet 분석 기능 추가

발표 요약 : 오픈소스 라이선스가 요구하는 고지 의무와 SBOM 표준(SPDX)에 기반한 오픈소스 고지문 자동 생성 방안

• 주요 오픈소스 라이선스의 고지 의무 : 저작권 표시, 라이선스 사본 첨부, (GPL 계열 오픈소스 라이선스의 경우) Written Offer
• SBOM 표준 : SPDX
• SPDX 기반 오픈소스 자동 생성 도구 : onot (https://github.com/sktelecom/onot)

Video

Photo

6 - 2021

6.1 - 9th Meeting

일정

• Schedule: 2021-03-11 (Thu) 2:00~4:00 pm
• How to join
  • Join Google Meet : https://meet.google.com/kbs-yjce-fcv

Agenda

Case Study

• 주제 : ISO/IEC 5230 인증 취득을 고려하고 있는지?

Video

OpenChain Update

FOSSLight Dependency 소개

OpenChain KWG Update / ISO/IEC 5230 인증 3가지 방법

오픈소스와 함께한 1,273일간의 기록 (ISO 인증 취득 과정)

Minutes

1. OpenChain Update (Shane Coughlan, Linux Foundation)

ISO 인증

• 일본, 미국, 한국의 몇몇 회사들이 인증을 받음
• 가장 큰 뉴스는 이 회사들에 ISO 표준을 적용했을 때 잘 작동한다고 했다는 것. 이는 표준이 잘 만들어졌다는 증명이 될 수 있음
• 꼭 규모가 큰 회사 뿐 아니라 조금 더 작은 규모의 회사에서도 인증을 받았다는 것이 아주 큰 성과였음

교육

• 이메일로 신청하면 교육팩을 받아볼 수 있다. (오픈체인, 오픈소스, 오픈체인 인증받는 방법 등에 대한 Slidedeck)
• Training course

설문

• Project annual survey
• 모든 질문에 응답할 필요는 없고 원하는 질문에만 응답하는 것도 가능
• 60초~10분까지 소요되는 분량이며 많은 참여를 독려

2. FOSSLight Dependency 소개 (석지영, LG전자)

LG전자의 Open Source 프로젝트로 FOSSLight Scanner와 FOSSLight System 공개 예정

• FOSSLight Scanner: 오픈소스 분석 스캐너
• FOSSLight System: 오픈소스 컴플라이언스 통합 시스템

FOSSLight System 사용 방법

• FOSSLight Scanner로 스캔한 결과를 업로드
• Indentification, Packaging, Distribution 절차를 거쳐서 오픈소스 라이선스 고지문 발급 및 배포까지 완료

FOSSLight Scanner

• 소스코드 스캔은 ScanCode 활용
• Dependency 스캔은 FOSSLight Dependency Scanner 활용
• Binary 스캔은 별도 바이너리 스캔 툴 활용 현재는 FOSSLight Dependency Scanner만 공개하였으나, 추후 전체 프로젝트를 공개할 예정

FOSSLight Dependency Scanner

• 레포지토리 링크: https://github.com/LGE-OSS/fosslight_dependency
• 사용 언어: Python
• 오픈소스 라이선스: Apache License 2.0
• 지원하는 패키지 매니저: Gradle, Maven, NPM, PIP, Pub (추후 Cocoapods, Yarn 추가 예정)
• 각 dependency의 OSS 정보 확인
  • OSS Name
  • OSS Version
  • License Name
  • Download Location
• OSS 정보 확인 시 정확한 라이선스 분석을 위해 라이선스 텍스트 분석 오픈소스도 활용함
  • Nomos standalone(https://github.com/fossology/fossology/tree/master/src/nomos/agent)
  • Askalono (https://github.com/jpeddicord/askalono)

LG전자 오픈소스 가이드 페이지

• LG Open Source : http://oss.lge.com
• LG OSC Process Guide : https://lge-oss.github.io/guide/
• LG FOSSology Guide : https://lge-oss.github.io/fossology-guide/
• LG ORT(Oss Review Toolkit) Guide : https://lge-oss.github.io/oss-review-toolkit-guide/

Q&A

• ORT와 비교하면 어떤지?
  • ORT는 무거운 편이고, 간결하게 사용하기 위해 FOSSLight 라는 시스템을 개발한 것
• Gradle의 경우, 분석 프로그램에 플러그인을 설치해야 하는데, LG전자 정책상 플러그인 설치를 강제하고 있는지?
  • FOSSLight Requirements 에 플러그인을 설치하고 스캔하라고 가이드하고 있음

3. OpenChain KWG Update (장학성, SK텔레콤)

Korea Work Group 스티커 배포 (Designed by Soim)

ISO/IEC 5230 적합성 인증 선언

• 엔씨소프트, LG전자 인증 획득

OpenChain 규격 2.1 한국어 번역 완료

• https://github.com/OpenChain-KWG/Specification-Translation-KR
• Special Thanks to Contributors: LG전자 김경애님, 홍종호님

OpenChain 규격 2.1에 맞게 자체인증 질문지 개선

• https://github.com/OpenChain-Project/Online-Self-Certification-Web-App
• https://github.com/OpenChain-Project/conformance-questionnaire

Korea Work Group 블로그 공간 개설

• 작성 방법: https://github.com/OpenChain-Project/OpenChain-KWG/wiki/Blog-%EC%9E%91%EC%84%B1%ED%95%98%EA%B8%B0

Sub Group

• Planning Group : KWG 거버넌스 체계 구축, 정기 모임 일정/Agenda, 주요 의사결정, 회의록 작성, 굿즈 제작 등
• Conformance Group: OpenChain 인증 획득 준비 및 정보 공유

4. ISO/IEC 5230 인증 3가지 방법 (장학성, SK텔레콤)

Self Certify

• OpenChain 프로젝트에서 추천하는 방법, 웹사이트에서 무료로 제공하고 있고 대부분의 기업이 채택하고 있음
• 링크: https://certification.openchainproject.org
• 방법
  • 회원가입
  • 현수준 진단
  • 미비한 사항들 보완
  • 모든 사항 Yes 체크 후 제출
  • General Manager에게 인증 수행 결과 제출
  • General Manager가 간단한 질의응답 형태로 확인 절차 거침
  • 이상이 없다면 적합성 인증 취득 선언

Independent Assessment

• 제3자가 평가, 미비점 보완을 위한 지원 제공
• 아직 ISO/IEC 5230은 제3자 평가를 의무화한 조항은 없음
• 컨설팅 제공이 주요 포인트
• 주요 업체1 - AlektoMetis
  • 미비점 분석, 보완을 위한 Task 수행
• 주요 업체2 - Source Code Control
  • 적합성 인증 획득을 위해 체계적인 계획 수립하여 대시보드화
  • 각 항목마다 세부 방법 및 담당자 할당하여 관리

Third Party Certification

• 인증전문 기관에 의한 평가
• 인증서 발행
• 주요 업체1 - TUV SUD (글로벌 시험 인증 기관)
• 주요 업체2 - PwC (세계 4대 회계법인 중 하나, 다국적 회계 감사 기업)

국내 인증 현황 및 시사점

• 국내에 아직 ISO/IEC 5230 교육 및 인증을 제공하는 업체는 없음
• 대기업 그룹사의 경우 한 기업이 전문 지식 및 경험을 획득하고, 계열사 및 관계사 대상으로 Independent Assessment 형태의 서비스를 제공할 수 있을 것 (예: 자동차 업계)

NIPA 발간한 OpenChain 해설서

• 기업 공개SW 거버넌스 OpenChain 2.0 해설
• ISO/IEC 5230에 맞게 개정 예정

Q&A

• ISO/IEC 5230 표준 문서는 깃허브에 공개되어 있는지? 자세한 문서는 없는지?
  • 한글 번역 작업 진행 중: https://github.com/OpenChain-KWG/Specification-Translation-KR

5. 오픈소스와 함께한 1,273일간의 기록 (한지호, 엔씨소프트)

엔씨소프트의 오픈소스 컴플라이언스 활동은 2017년 6월부터 시작

2017년

• 오픈소스 분야의 지식이 없었기 때문에 오픈소스 라이선스와 관련된 사외 교육 수강
• 오픈소스 분야에 이미 경험이 많은 타 기업의 담당자분들께 의견을 구하기도 하였음
  • Special Thanks to 전현준 변리사님, 장학성님, 황은경님
• 오픈소스 컴플라이언스를 담당할 조직 세팅
• 프로세스 수립
• 오픈소스 검증 및 사용에 대한 가이드를 정리하여 사내 위키에 공개
• 오픈소스 문의를 받을 사내 메일 그룹 생성

2018년

• Protex 도입하여 오픈소스 검증 착수
• 당시에는 소스코드 스캔 및 컴플라이언스는 주로 보안 부서에서 담당하였고, 커뮤니케이션이나 서브 업무만 지원
• 라이브 중인 프로덕트를 대상으로 오픈소스 사용 고지 완료

2019년

• 사내 개발자 컨퍼런스에서 오픈소스 라이선스 검증에 대한 경과 발표
• 오픈소스 검증을 주로 담당하던 보안 부서가 사라지게 되어서 오픈소스 컴플라이언스 업무의 R&R을 새로 수립하였음
• Protex의 한국 총판 업체도 변경되면서 Protex 계약을 종료하고, 오픈소스 스캔 도구로 Fossology를 도입함

2020년

• OpenChain 인증 준비 착수
• OpenChain 2.0 요구사항 중 충족하지 못한 부분들 보완
  • 문서화된 오픈소스 정책 수립
  • 오픈소스 기여 정책 수립
  • 전사 오픈소스 교육
• 오픈소스 정책/가이드를 만들어서 사내 Developers 사이트에 공개
  • 도움이 되었던 도서: 오픈소스로 미래를 연마하라
• 월간 전사 임원회의 및 경영회의에서 오픈소스 컴플라이언스 업무에 대해 공유
  • 대표님을 포함한 경영진 레벨에서 스폰서십 확보
• 오픈소스 교육 콘텐츠 개발
  • 30분 내외의 동영상
  • 강의용 PPT와 스크립트 공개: https://github.com/ncsoft/oss-basic-training
• 전사 오픈소스 교육 시행
  • 전사 개발자, PM, QA직군 대상
  • 약 93% 수료
  • 설문조사 시행하여 오픈소스 라이선스에 대한 이해 수준 평가 (5점 만점에 4.2점)
• 2020년 12월 15일, OpenChain 2.1 인증 획득

그 이후

• 현재도 오픈소스 컴플라이언스 활동 지속
• 해외 퍼블리셔/지사에서 서비스하는 프로덕트도 검증 및 고지 완료
• 사내 Stackoverflow 서비스에 [오픈소스 지식채널]을 만들어서 질의 응답하고 있음

Q&A

• 설문조사 참여율을 어떻게 높였는지?
  • 강제성 없이 설문조사했을 때에는 30%의 참여율을 보였으나, 더이상 권장하지는 않았음
  • 전사 교육 시행 시 설문조사까지 완료하여야 수료되도록 강제성을 부여했음

Photo Gallery

6.2 - 10th Meeting

Schedule

• Schedule: 2021-06-22 (Tue) 3:00~5:00 PM
• How to join
  • Zoom (Please refer to the e-mail for the access address)

Agenda

소그룹 모임 주제

1. 자기 소개
2. 하는 일, 최근 주요 관심사
3. 다른 회사의 담당자에게 궁금한 것이 있다면?

Attendees

• SK Telecom
• LINE Plus
• Kakao
• LG Electronics
• NCSOFT
• Hyundai Mobis
• Hyundai Motors
• Hyundai Autoever
• Samsung Electronics
• KT ds

Video

Intro

OpenChain Update

OpenChain KWG Update

FOSSLight Open Source Project

최근 주요 동향

NIPA 오픈소스 거버넌스 가이드

Minutes

OpenChain Update (Shane Coughlan / Linux Foundation)

• Security Guide 를 발간할 계획이 있으며, 현재 편집 중 (Link)

OpenChain KWG Update (장학성/SK텔레콤)

• Github 개설: https://github.com/OpenChain-KWG
• YouTube 개설: https://www.youtube.com/channel/UCl4pp1CIFjh6OoHXWzB-FKg/featured
• OpenChain 인증 해설서 개정 중
  • NIPA에서 2020년에 발간하였으며, 현재 개정판 작업 중
  • 기업의 OpenChain 인증 방법에 대해 설명
  • https://haksungjang.github.io/docs/openchain/
• Planning Group (운영진) 모임
  • 5월 24일에 10차 모임 준비를 위해 Planning Group 모임을 진행하였음
  • https://openchain-project.github.io/OpenChain-KWG/subgroup/planning/2021/2nd-meeting/
• OpenChain ISO 5230 Supplier Education Pack 한국어 리뷰가 필요함
• Blog 개설
  • Elastic License 2.0 & 진화하는 오픈소스 라이선스: https://openchain-project.github.io/OpenChain-KWG/blog/2021/20210328-elasticlicense
  • OSPO란?: https://openchain-project.github.io/OpenChain-KWG/blog/2021/20210418-ospo-definition/
  • Dockerfile 배포 시 컴플라이언스 책임은 누구에게?:https://openchain-project.github.io/OpenChain-KWG/blog/2021/20210504-dockerfiles/

FOSSLight Open Source Project 소개 (김경애/LG전자)

• FOSSLight Open Source Project 란?
  • FOSSLight 스캐너를 통해 소스코드, 디펜던시, 바이너리를 스캔하고
  • 스캔한 결과물을 FOSSLight System에 업로드하여
  • OSS Distribution Site에 공개할 수 있도록 고지문 발급하는 시스템
• FOSSLight Source Scanner
  • String Search 기반으로 라이선스 검출 (ScanCode 활용)
  • Code Match 가 불가하여 OSS 이름 검출이 불가함
  • 소스
    • https://github.com/fosslight/fosslight_source_scanner
    • https://github.com/fosslight/fosslight_source_scanner/blob/main/docs/README_Kor.md
• FOSSLight Dependency Scanner
  • 개발 환경에서 Dependency 목록에 대해 OSS 정보 출력
  • 지원 가능한 Package Manager
    • Gradle (Java/Android)
    • Maven (Java)
    • NPM (Node.js)
    • Pypi (Python)
    • Pub (Dart with flutter)
    • Cocoapods (Swift/Obj-C)
  • Transitive Dependency 출력
  • 빌드되지 않는 환경에서 동작하지 않음
    • https://github.com/fosslight/fosslight_dependency_scanner
    • https://github.com/fosslight/fosslight_dependency_scanner/blob/main/docs/user-guide_Kor.md
• FOSSLight System
  • Open Source Compliance Process를 효율적으로 수행하는 시스템
    • LICENSE/OSS 정보 조회 및 관리
    • Project 단위로 OSC 수행 및 Status 관리
    • 3rd Party Project 관리
    • Vulnerability 관리
    • Self-Check 기능
• 곧 Release 될 기능
  • FOSSLight Binary Scanner
    • Binary 실제 분석하는 것은 아님
    • Path 내 Binary를 추출하여 checksum, TLSH 추출
    • System Database와 비교하여 OSS 정보 자동 출력
  • FOSSLight REUSE
    • Reuse https://github.com/fsfe/reuse-tool 활용
    • 저작권 및 라이선스 표기 규칙 확인
    • OSS-pkg-info.yaml 파일 <-> FOSSLight Report 변환
• 특징
  • 동일한 OSS 이름이지만 다양하게 불리는 경우, Nickname을 등록하여 일관된 이름으로 통합 관리 가능
  • OSS Notice Format을 커스터마이징할 수 있음 (Company Name, Email 등)
• FOSSLight Contribution Items
  • 버그 리포팅
  • 오타
  • 문서화 작업
  • 1인 OSC 담당자를 위한 Customizing
  • Distribution 단계 구현
  • 테스트 자동화 등

Google OSV & Open Source Insight (Robin Hwang/카카오)

• Google OSV https://osv.dev/
  • SVE와 Sonatype OSS Index 등을 통해 취약성 데이터 베이스 확인
  • 구글이 OSS-Fuzz 프로젝트에서 발견한 데이터 세트를 제공
    • OSS-Fuzz: 소프트웨어 프로그래밍 오류를 발견하는 Fuzz Test 프로젝트
  • CVE의 경우, 취약성 정보를 특정 패키지 버전에 매핑하기 어려운 경우가 많음
• Open Source Insight https://deps.dev/
  • Google에서 Open Source Insight 서비스 공개
  • 기존에 ClearlyDefined 서비스를 제공하고 있음
  • 직관적인 UI로 서비스 구성
  • 보안 취약성 정보를 연결, 종속성 그래프도 제공
  • 차별점
    • Npm과 같은 일반적인 도구 세트를 대체하려는 것은 아니고 패키징에 정의되어 있는 정보를 토대로 구성
    • Lock 파일에 선언된 종속성과 다르거나 더 완전할 수 있음
    • OpenSSF Score 도입

기업 공개 소프트웨어 거버넌스 가이드 (이서연/LINE 플러스)

• 기업 공개 소프트웨어 거버넌스 가이드
  • NIPA 주관하고 오픈업이 연구 수행하여 국내 기업의 올바른 오픈소스 활용을 안내하기 위함
  • SKT, 라인, Kakao 에서 NIPA 기업 공개 소프트웨어 거버넌스 가이드 집필하였음
  • 실물 책자는 발간 진행 중이고, 웹 통해서 확인 가능
• 오픈소스 사용하기
  • “기업 관리자편” + “개발자 편”으로 구성
• 오픈소스 기여하기
  • 기업편: 기여 전략
  • 개발자편: 기여 준비 방법
• 오픈소스 공개하기
  • 기업편: 어떻게 공개해야 할지, 공개 후 해야 할 일 등
  • 개발자편: 오픈소스 공개 준비 방법, 운영 방법
• 다양한 의견과 컨트리뷰션 환영합니다.
  • 저장소: https://github.com/NIPA-OpenUP/oss-governance-guide
  • 사이트: https://nipa-openup.github.io/oss-governance-guide/

Photo Gallery

OpenChain News

• https://www.openchainproject.org/news/2021/06/11/korea-wg-10

6.3 - 11st Meeting

Schedule

• Schedule: 2021-09-30 (Thu) 2:00~4:00 PM
• How to join
  • Zoom (Please refer to the e-mail for the access address)

Agenda

소그룹 모임 주제

1. 자기 소개 (하는 일, 최근 주요 관심사)
2. 오픈소스 컴플라이언스 활동 이력 관리 방법 Best Practice 공유 (개발자와 이메일로 소통? Jira 등 도구 활용?)

Attendees

• ETRI
• 현대자동차
• 현대오토에버
• 현대모비스
• 카카오
• LG전자
• 라인플러스
• 엔씨소프트
• 삼성전자
• SK텔레콤
• Linux Foundation

Video

OpenChain Update

OpenChain KWG Update

오픈소스 라이선스 변화의 흐름

최근 주요 동향

Minutes

OpenChain Update (Shane Coughlan / Linux Foundation)

1. SK Telecom OpenChain ISO 인증 획득, Telecommunication 업계 중 최초
2. Global Case Study: 10월~12월 내 운영 중 [https://www.openchainproject.org/featured/2021/09/22/automation-case-study]
   • 주제: Open Source Compliance Automation and Interoperability
3. SPDX Specification 2.2.1 버전이 ISO 등재되었음 [https://www.iso.org/standard/81870.html]
4. OpenChain Security Assurance Guide 준비 중
5. OpenChain Supplier Education Pack 배포

OpenChain KWG Update (장학성/SK텔레콤)

1. KWG 멤버 조건에 “기업/기관"으로 변경
2. 삼성전자 & SK Telecom OpenChain ISO 인증 획득
3. Tooling Subgorup에서 OSS Based Compliance Tooling Group에서 소개된 오픈소스 도구들에 대해 소개 예정
4. OpenChain KWG Charter
   • 거버넌스 문서화 진행 중
   • 초안을 작성하고 있으나 많은 분들의 의견이 필요합니다.
5. Blog Update : [https://openchain-project.github.io/OpenChain-KWG/blog/]
   • SK 텔레콤 개발자 소통 커뮤니티 DEVOCEON 론칭 뉴스
   • LG전자의 Fosslight 공개 뉴스
   • 카카오의 OLIVE 출시 뉴스
   • GPL v2.0의 설치 정보 요구 건에 대한 뉴스

오픈소스 라이선스 변화의 흐름 (Sean(김영환)/카카오)

1. 라이선스 변경 이력
   • 2018년 10월, MongoDB : AGPL 3.0 → SSPL 1.0
   • 2019년 11월, Sentry : BSD 3-Clause → BUSL 1.1
   • 2021년 1월, ElasticSearch : Apache 2.0 → EL 2.0 or SSPL 1.0
   • 2021년 4월, Grafana : Apache 2.0 → AGPL 3.0
2. Grafana : Apache 2.0 → AGPL 3.0
   • 변경 목적은 오픈소스 커뮤니티의 자유를 유지하면서, 오픈소스를 수정한 경우 기여 문화를 장려하기 위함
   • AGPL 특징
     • 네트워크로 서비스하더라도 소스코드 공개 필요
     • GPL 소프트웨어를 사용해서 SaaS로 서비스를 제공하면 공개 의무 없으나, AGPL은 소스코드 공개 의무 발생
   • Grafana 사용 가이드
     • Apache 2.0 적용 버전은 사용해도 이슈 없고, AGPL 3.0이 적용된 버전부터 사용 시 코드 공개 의무 있음
3. MongoDB : AGPL 3.0 → SSPL 1.0
   • 변경 목적은 AGPL은 클라우드에서 제공이 배포인지, 아닌지에 대한 논란의 소지가 있어서 명확하게 라이선스를 SSPL로 변경한 것
   • 클라우드 서비스 업체가 커뮤니티에 기여하지 않고 대부분의 이익을 창출하고 있다고 비판
   • 클라우드 서비스에서 Strip-Mining을 하고 있다고 비판함 (Strip Mining: 산이라는 생태계는 파괴하고 필요한 자원만 캐는 행위)
   • SSPL v1.0 특징
     • 클라우드 서비스의 경우에도 소스코드 공개 의무사항을 요구 (13조항)
     • 서비스 소스코드: 프로그램 및 관리 소프트웨어 (API, 모니터링, 백업, 저장 S/W 등)
   • MongoDB 사용 가이드
     • MongoDB를 외부에 서비스로 제공하는 경우, 서비스 소스코드를 전부 공개해야 함
4. ElasticSearch : Apache 2.0 → Elastic License 또는 SSPL 1.0
   • 변경 목적은 MongoDB와 사례와 동일
   • Elastic License 2.0 특징
     • 거의 모든 자유를 허용하지만 아래 2가지 제한사항만 있음
     • 1. 호스팅 등의 서비스로 제 3자에게 제공할 수 없음
     • 2. S/W 라이선스키에 대한 변경 및 라이선스키로 보호되는 S/W 기능 변경 금지
   • ElasticSearch v7.10까지는 Apache 2.0 적용, v7.11 이후부터는 SSPL 1.0 또는 EL 2.0 적용
   • Elastic Search 사용 가이드
     • 7.11 이후부터 ElasticSearch를 외부에 서비스하는 경우 적용된 라이선스에 따라 서비스 소스코드를 전부 공개하거나 Elastic과 계약 필요함
     • X-pack 디렉토리 하위는 Elastic 라이선스 적용
5. Sentry : BSD 3-Clause → BUSL 1.1
   • 변경 목적은 Sentry 초기 개발 때 1인 개발로 시작했으나, 프로젝트가 커지면서 수익 창출이 필요했고 Sentry를 판매하는 다른 회사로부터 보호하기 위해 라이선스 변경
   • BUSL 1.1 특징
     • 2016년 MariaDB에 적용된 라이선스
     • 사용자는 소스코드를 수정하고 컴파일 가능
     • 상용 서비스 목적으로 사용을 금지하며, 배포 후 특정 시점이 지나면 Apache License 2.0으로 변경됨
   • Sentry 사용 가이드
     • 9.1.2 버전까지는 BSD가 적용되며 상용 서비스에 사용 가능함
     • 10.0.0 버전부터는 BUSL가 적용되며 상용 서비스에 사용 불가, 3년 지난 후부터 상용 서비스 가능
6. 최근 AWS와 오픈소스 프로젝트들의 협력 사례들
   • Amazon Managed Grafana 정식 출시
     • Grafana Labs와 협력을 통해 개발 진행
   • Amazon OpenSearch Service 정식 출시
     • Elastic Search의 Apache 버전을 포크하여 OpenSearch 작업
7. Shared Source Software 등장
   • 지적재산권은 보호하면서, 소스코드는 제공하는 소프트웨어
   • 클라우드 등 상용 서비스로 제공 금지

삼성전자 오픈소스 정책 및 프로세스 현황 소개 (정윤환/삼성전자)

1. 정책의 필요성
   • 오픈소스 사용 정책은 2009년 BusyBox 사건으로 인해 오픈소스 소프트웨어 사용에 대한 정책의 중요성이 대두되었음
   • 오픈소스 기여 정책은 2011년 Tizen 오픈소스를 출범하면서 기여에 대한 정책이 필요해짐
2. 오픈소스 서비스(사이트, 검증도구) 구축
   • 2018년 이전
     • 사내: Protex, BSI, AVAS 등의 검증 도구 사용, 사업부 별로 관리 시스템 별도 구축
     • 사외: OSRC, GitHub
   • 2021년 현재
     • 사내: 오픈소스포털(SOSHUB) 구축
       • 검증도구, 사업부별 관리 시스템, 오픈소스 정책 통합
       • 오픈소스 프로세스 자동화
       • 오픈소스 DB 구축
       • 오픈소스 검증체계 강화: 사전/실시간 검증 추가
     • 사외: SamSung Open Soure 구축

최근 주요 동향 (Robin(황민호)/카카오)

1. 미 정부의 SBOM 의무화
   • 미국에서 최근 대형 보안 사고가 있었음 (SolarWinds 사태, Exchange 사태, Colonial PiPeline 사태)
   • 지난 5월 행정명령을 통해 SBOM 위상을 격상하였음
   • 주요 내용 중 오픈소스와 관련된 부분은 “소프트웨어 공급망을 개선"해야 한다는 내용이 있었음
   • 관련하여 Supplier Name, Component Name 등 SBOM 최소 필수 요소를 지정하였음
2. GitHub Copilot 오픈소스 라이선스 논쟁
   • Copilot은 GitHub에서 내놓은 서비스이며, AI 머신 러닝 기술을 이용해 코드를 자동 완성해주는 기능
   • Sentry의 한 개발자는 GiGhub에 있는 본인의 GPL 코드가 AI 학습에 포함되었음을 영상으로 제작하여 공개함
   • Copilot이 저작권 침해를 저지르고 있는가? 라는 논쟁이 있었으나 GitHub 측에서는 GitHub에 공개된 코드는 트레이닝(학습)에 쓰여질 수 있고, 라이선스 타입을 구분하지 않는다고 답변하였음
   • Fossa의 법적 해석에 따르면, 사용자는 Copilot이 제안하는 코드를 참고만 하고 그대로 사용하지 않는 것이 좋다는 의견

Photo Gallery

OpenChain News

• …

6.4 - 12nd Meeting

일정

• 일정: 2021-12-20 (월) 오후2시~
• 장소
  • Gather Town (접속 방법은 별도 메일 공지 참고)

Agenda

소그룹 모임 주제

1. (개인, 회사) 올 한해 어땠는지? 내년 계획이 있다면?
2. KWG에 바라는 점이 있다면 (한분이 취합하여 공유)

Video

OpenChain Update

OpenChain KWG Update

중국 GPL 소송 사례

최근 소송 사례 : Stockfish v. ChessBase, SFC v. Vizio

Shift-left and Automate Compliance Checks

오픈소스 보안취약점 공격 유형

Minutes

OpenChain Update (Shane Coughlan / Linux Foundation)

1. OpenSource License Compliance Management Training course 개설
   • 무료로 이용 가능하며, Certification도 획득 가능
2. 첫번째 Playbook 발간
   • 중소 규모의 기업에서 어떻게 OpenChain을 도입할 수 있는지 가이드
     

위 두 자료는 [https://www.openchainproject.org/]에서 확인할 수 있음

중국 GPL 소송 사례 (장학성 / SK Telecom)

1. VirtualApp 소송 사례

• 원고: Jining Luohe Network Technology Co., Ltd (VirtualApp 저작권자)
• 피고: 세 곳의 회사
  • Fujian Fengling Chuangjing Technology Co., Ltd. (Dim Sum Desktop 저작권 소유자)
  • Beijing Fengling Chuangjing Technology Co., Ltd. (1번 회사의 모회사이며, Dim Sum Desktop 개발사)
  • Shenzhen Tencent Computer System Co., Ltd. (Dim Sum Desktop을 운영하기 위한 서비스인 Application Bao 운영)

2. VitualApp이란?
   • VirtualApp은 가상 Android 환경을 제공하는 소프트웨어이며, GPL 3.0이 적용됨
   • 그러나 2017년 1월 24일에 “당신은 이 프로젝트를 무료로 사용할 수 있는 권한이 없다” 라는 안내가 추가됨
   • 2017년 8월에 VirtualApp을 설립하고 상용 비즈니스 시작
   • 2017년 10월에 오픈소스 라이선스 제거
3. Dim Sum Desktop
   • VirtualApp과 마찬가지로 가상 Android 환경을 제공하는 소프트웨어
   • Dim Sum Desktop은 GitHub에 공개된 VirtualApp의 2018년 8월 16일자 버전을 받아서 개발됨 (GPL 3.0이 적용된 버전이지만, 상업적 사용을 금지한다는 문구도 포함되어 있음)
4. 소송 제기
   • 원고는 소프트웨어 저작권 침해를 중단할 것을 요구하였음 (즉, Dim Sum Desktop 소프트웨어의 다운로드, 설치, 운영 중단 요구)
   • 경제적 손실 배상과 합리 비용을 배상할 것을 요구
5. 법원 판결
   • 중국은 영문을 기반으로 한 오픈소스 라이선스의 법적 효력을 인정하고, 라이선스 위반을 저작권 침해로 판결
     

상세한 내용은 링크에서 확인할 수 있음

최근 소송 사례: Stockfish vs ChessBase, SFC vs Vizio (박원재 / LG전자)

1. Stockfish vs ChessBase
   • 원고: Stockfish 개발자들
   • 피고: ChessBase GmbH
   • 사건
     • Stockfish는 Glaurung Engine을 기반으로 개발되었으며, GPL 3.0이 적용됨
     • ChessBase에서 판매하는 Fat Fritz는 Neural Network 기술이 사용되었고, Fat Fritz 2에서는 Stockfish 가 사용됨
     • ChessBase는 Fat Fritz 2 SE를 판매하고 Source code 공개하고 있으나, Neural Network의 weight를 공개하지 않아 논란이 됨
   • 쟁점
     • Weight 값이 파생 저작물 범주에 포함되는가? 코드와 데이터의 경계이므로 애매하고, 법원 판결을 기다려야 함
     • Licensor가 License의 GPL 3.0을 일방적으로 종료할 수 있는가? Weight가 파생저작물 범주에 포함되지 않는다고 판단하면 현 시점에는 ChessBase가 위반한 것으로 판단
2. SFC vs Vizio
   • 원고: SFC (오픈소스 프로젝트에 법률 서비스를 제공하기 위한 회사
   • 피고: Vizio (전자기기 제조 회사)
   • 사건
     • Vizio는 SmartCast 라는 자체 OS를 바탕으로 TV 제조/판매
     • SFC에 Vizio가 리눅스 기반으로 만들었으나 GPL, LGPL 소스코드의 제공 또는 Written Offer 제공에 대한 의무사항을 이행하지 않는다는 제보를 받음
     • 알고 보니, 2018년~2020년에 여러 차례에 걸처 소스코드를 제공했으나 컴파일 가능한 형태가 아니였고, 지속적인 보완을 요구함
     • 2020년 1월 이후부터는 커뮤니케이션이 단절됨
     • 2021년 10월에 SFC에서 소송 제기
   • 쟁점
     • 보통은 비영리 단체가 오픈소스 저작권자를 대신하여 소송을 제기하는데, 이번 건은 소비자가 고소를 한 것이므로 주목을 받게 됨

Shift-left and Automate Compliance Checks (Arlo(하헌관) / 카카오뱅크)

1. Shift-left 테스트가 무엇인가?
   • 요구사항, 설계, 테스트, 배포까지의 개발 라이프사이클에서 품질에 대한 검증을 초기 단계부터 집중하자라는 것
   • 릴리즈 단계로 갈수록 리스크 대응 비용이 커지기 때문
2. FossID를 통한 자동화 구성
   • Rest API 문서들이 잘 작성되어 있어서 자동화 구현에 용이하였음
   • 전반적인 구성
     1. Gitlab 에서 코드 다운로드
     2. FOSSID API 통해 스캔, 결과 취득, 보고서 생성
     3. Jenkins 통해 칸반에 이슈 등록 (FossID 스캔 링크와 html 리포트 첨부)
3. 추후 Plan
   • DevSecOps 구축
     • 개발과 보안을 함께 챙길 수 있도록 프로세스 운영
4. Q&A 세션
   1. 어느 시점에 검증 리포트 요청을 하는게 좋은가?
      • (SKT) 첫 빌드가 되면
      • (LG전자) 형상관리 생서되면
      • (카카오뱅크) 개발자가 커밋을 하는 시점
      • (LINE) 기업의 개발문화에 따라 정하는게 좋을 것
      • (현대모비스) 개발하면서 부분적인 코드를 fossID 통해서 검증해보는 기능도 있다고 함
      • (카카오) IdE 플러그인 설치하고 코드 작성 전에 체크하는 추세가 많은 듯
   2. 카카오에서 개발한 OLIVE를 사용하지 않는 이유는?
      • (카카오) 웹 서비스로만 제공하고 있어서 카카오 뱅크와 같은 금융권에서는 보안상 사용이 어려움. CLI를 준비하고 있음.

사례로 보는 오픈소스 보안 취약점 공격 유형 (Robin(황민호) / Kakao)

1. Log4shell
   • JNDI를 통한 원격 코드 실행이 가능했음
   • 2.15.0 버전이 배포된 후에도 DDoS 공격 취약점이 발견되어 패치 버전이 계속 배포되고 있음

   CVE란 공개적으로 알려진 컴퓨터 보안 결함 목록
   CVE - 4자리 연동 – 순차 식별자로 구성됨
   NVD 사이트에서 별도 데이터베이스로 관리되고 있음

2. Dependency Confusion
   • Dependency Hijacking
     • 패키지 매니저가 비공개 저장소에서 서드 파티 패키지를 끌어오는 기본 방식에서 발견된 결함
     • Private repository에서 가져와야 하는데, 악성 코드가 심어진 public repository에서 설치하게 만듬
     • MS 백서의 가이드
       1. 여러 개가 아닌 하나의 private feed를 참조
       2. 제어된 범위를 명시적으로 지정하여 패키지 보호
       3. Client 측에서 검증 기능을 활용
   • Typosquatting
     • 오픈소스를 검색할 때 단순한 오타를 유도하는 공격 방식
     • 주로 Pypi, NPM, Ruby gem 에서 발견
     • 예시) Jellyfish > jeIlyfish, Lodash > lodahs
   • Malware
     • 오픈소스에 악성 소프트웨어를 포함하여 배포
     • 예시
       • Event stream : 꽤 인기있던 npm 라이브러리의 하위 종속성인 flatmap-stream 에 비트코인 지갑을 훔치는 멀웨어가 포함되어 배포됨
       • Rest-client : 1.6.13에 특정 사이트에서 원격 코드를 가져오고 외부 서버로 보내도록 악성 코드를 포함시킴
       • Octopus scanner : netbean 저장소를 감염시켜 jar 바이너리, 프로젝트 파일 및 종속성 내 악성 페이로드를 배포, 감염된 저장소가 개발 환경에 복제 또는 fork 될 경우 악성코드에 감염됨
   • Stealing administrator privileges
     • 비밀번호 유출이나 무차별 대입시도로 인해 오픈소스 관리자의 계정을 탈취하여 악성코드가 포함된 오픈소스가 배포되는 케이스
     • 예시
       • Bootstrap-sass : bootstrap의 saas 버전에 악성코드가 심어져서 쿠키 파일을 로드하고 내용을 실행 시킴
       • Ua-parser-js : 클린 버전을 패치 버전으로 설치할 때 활성화되는 악성코드를 포함시킴, 암호화폐 채굴 소프트웨어를 다운로드하고 실행시키는 코드
   • Next-gen attack
     • Software supply chain 이나 IDE 플러그인 등을 대상으로 하는 차세대 공격
     • 예시
       • Codecov : 도커 이미지 생성할 때 프로세스의 버그를 악용하여 자격 증명을 취득, CDN 버킷에 access 하여 bash 스크립트를 악의적으로 변경
       • Vs-extension : visual studio 확장 프로그램을 통해 공격자는 RSA 키 등 중요한 정보를 훔쳐 VCS에 접근하거나 Production 서버에 연결하여 시스템을 손상시킴
3. 보안취약점을 피하는 실무 팁 4가지
   1. 내 소프트웨어가 어떤 구성으로 되어 있는지 파악하기
   2. 종속성 문제 해결
   3. 코드 스캔 자동화를 통해 알려지지 않은 불확실한 요소를 찾기
   4. 라이선싱 위험에 주의하기
   5. 구글에서도 프레임워크를 제안하고 있음
      • 구글과 OSSF에서 오픈소스 위험 점수를 생성하는 자동화 도구인 SCORECARD V2 출시함

Photo Gallery

후원

7 - 2020

7.1 - 5th Meeting

Online Meeting

• Schedule: 2020-03-19 (Thu) 2:00~ pm
• How to join on PC
  1. PC에서 https://uberconference.com/openchainproject 접속
  2. Your Name 입력 후, “Join audio-only” 클릭하여 방에 입장
  3. Confirm settings 화면에서 마이크와 스피커 설정 확인 후 > Join conference
• How to join on Phone
  1. 핸드폰에서 02-6022-2388로 전화
  2. 855 889 3011 # 입력

Agenda

Attendees

• NCSoft
• Kakao
• Hyundai Motors
• Hyundai Mobis
• LINE Plus
• LG Electronics
• SK telecom

Minutes

• 5th-minutes.pdf

7.2 - 6th Meeting

Intro

• Schedule: 2020-06-16 (Tue) 2:00~ pm
• How to join on PC
  1. PC에서 https://uberconference.com/openchainproject 접속
  2. Your Name 입력 후, “Join audio-only” 클릭하여 방에 입장
  3. Confirm settings 화면에서 마이크와 스피커 설정 확인 후 > Join conference
• How to join on Phone
  1. 핸드폰에서 02-6022-2388로 전화
  2. 855 889 3011 # 입력

Agenda

Attendees

• NCSoft
• Kakao
• Hyundai Motors
• Hyundai Mobis
• LINE Plus
• LG Electronics
• SK Telecom

Minutes

• OpenChainKWG_6th_20200616.pdf

Video

Photo Gallery

7.3 - 7th Meeting

Intro

• Schedule: 2020-09-22 (Tue) 2:00~4:00 pm
• How to join
  • Join Zoom Meeting ( https://us02web.zoom.us/j/9990120120?pwd=NzVCaFE2L1RRRFZaSkk0dm8xdlplUT09 )
  • Meeting ID: 999 012 0120
  • Password: 123456

Agenda

Attendees

• Hyundai Mobis
• Hyundai Motors
• Kakao
• ktds
• LINE Plus
• LG Electronics
• NCSOFT
• SamSung Electronics
• SK telecom

Minutes

1. OpenChain Update (Shane Coughlan / Linux Foundation)

• OpenChain은 곧 ISO 표준 인증 절차가 완료될 예정
  • 이에따라 다양한 교육 자료를 제작할 예정이며, 국가별로 번역이 필요할 것으로 예상됨
• OpenChain T-shirt 제작 안내

2. LG전자의 오픈소스 컴플라이언스 관리 시스템, OSC System 소개 (김소임 / LG전자)

주요 기능

• Project : 배포하는 SW별로 생성하여 OSC Process를 수행

  • 포함된 OSS 목록을 업로드하면, 리뷰어가 리뷰하고, 소스 코드 공개가 필요한 사항을 시스템에서 보여줌 (라이선스 별 상세정보를 보여주어, 각 라이선스 별 소스 코드 취합 범위를 확인 가능)
  • 최종적으로 OSS Notice가 발행되고, 해당 파일과 공개할 소스코드를 http://opensource.lge.com에 배포하는 구조

• 3rd Party Project : 3rd party SW별 OSS 목록을 관리

• OSS / License 상세 정보 : OSS, License 에 따른 Obligation, Resctriction확인 가능. (각각 nickname을 관리하여 동일한 License를 다르게 표기하여도 매핑됨)

• Vulnerability : OSS 별 보안취약점 확인 가능

• BAT (Binary analysis tool) : binary를 업로드하면, OSS를 검출하여 보여줌

앞으로의 계획

OSC System은 오픈소스로 공개 준비 중

3. 오픈소스 관련 책 요약 및 소개 - ‘오픈소스로 미래를 연마하라’ (이서연 / 라인플러스)

기술 숙련도나 전문분야에 상관없이 독자들이 FOSS 프로젝트에 어떻게 기여할 수 있는지 알려주는 책

자유 소프트웨어·오픈 소스에서 얻을 수 있는 것

• 기술적 혜택, 경력상 혜택, 인맥적 혜택

기여 준비하기

• 내가 어떤 기여를 할 수 있을지 체크리스트를 만들어보자
• 기여 과정
  • 기여하고 싶다는 것을 깨닫는다 - 프로젝트를 찾는다 - 할 일을 찾는다 - 환경을 구성한다 - 기여 작업을 한다 - 기여를 제출한다 - 피드백을 받고 코드 개선을 반복한다 - 기여가 받아들여진다 - (반복)

프로젝트 찾기

• 목표 세우기
• 요건 모으기: 기술, 관심, 시간 여유, 목표
• 후보 프로젝트 모으기
  • 매일 사용하는 소프트웨어가 FOSS인지 확인해보자
  • 관심분야 + open source 라고 검색해보자
• 최종 선택을 하기 전에 살펴보아야 할 것들
  • 기여하기 얼마나 쉬운가? 가이드 문서가 친절한가?
  • 이슈 트래커를 살펴보고 질문해보자
  • 작게 시작하고 장기적인 관점을 가지자

이 책의 활용법

• 오픈소스 기여 가이드로 활용
  • 오픈소스 기여 워크샵
• 현재 공개중인 오픈소스가 새 기여자들에게 얼마나 친절한지 되돌아보는 가이드로 활용

4. Case Study: 오픈소스 공개 practices(GitHub, CLA 등)

5. OpenChain KWG Update

• KWG 로고 제작! (Thanks to @soimkim)
• 새 로고를 넣은 T-Shirt 제작 예정. 신청은 추후 공지

Video

https://www.openchainproject.org/featured/2020/10/23/openchain-korea-work-group-meeting-7-the-recordings

Video 1

OpenChain Update (Shane) & LGE’s OSC System (김소임)

Video 2

책소개 - 오픈소스로 미래를 연마하라 (이서연)

Video 3

Case Study – Open Source Release Practices & OpenChain KWG Update (장학성)

Photo Gallery

7.4 - 8th Meeting

Intro

• Schedule: 2020-12-02 (Wed) 2:00~4:00 pm
• How to join
  • Join Zoom Meeting ( https://us02web.zoom.us/j/9990120120?pwd=NzVCaFE2L1RRRFZaSkk0dm8xdlplUT09 )
  • Meeting ID: 999 012 0120
  • Password: 123456

Agenda

Case Study

• 주제 : 오픈소스 컴플라이언스 / 보안취약점 점검 대상 분류
  • 폰트도 오픈소스 컴플라이언스 활동을 수행하는지? (예: Open Font)
  • 회사가 사내 직원용 모바일 앱(안드로이드, iOS)을 배포하는지? 그렇다면 이것도 오픈소스 컴플라이언스 활동을 수행하는지?
  • 오픈소스 보안취약점 점검 대상은 어떻게 분류하는지? 배포하는 소프트웨어 뿐만 아니라, 인프라 용, 서버 용으로 사용 중인 소프트웨어도 점검 대상으로 포함시키는지?

Attendees

• Hyundai Mobis
• Hyundai Motors
• Kakao
• ktds
• LINE Plus
• LG Electronics
• NCSOFT
• SamSung Electronics
• SK telecom

Video

Introductions and Update

Hyundai’s Open Source Governance System

Trends in Software Component Analysis (SCA)

Kakao’s Olive System

Minutes

1. OpenChain Update (Shane Coughlan, Linux Foundation)

OpenChain 2.1 – ISO / IEC International Standard

• 12/14(월) publish 예정
• 일본과 한국 기업이 같은 날에 OpenChain 2.1 Announce 예정
• 인증 방식
  1. Self Certification : https://certification.openchainproject.org/
  2. Independent Assessment : 각 국가에 지정된 인증 기관 통해 인증
  3. Third-Party Certification : PWC, TUV SUD등 OpenChain partner를 통한 인증 (OpenChain 공식 인증서 발급)

Self-Certification 지원 언어

• 현재는 영어, 한국어, 일본어 지원 중
• 12월 내에 중국어, 독일어, 프랑스어, 이탈리아어, 스페인어 등 가능해질 것
• SPDX 2.2도 ISO/IEC Transposition Process 진입
  • 2021년 2분기에 채택될 예정

Openchain T-shirt 추가 지원

• 추가로 티셔츠를 희망하는 분은 예산 지원 가능하다고 합니다! (Planning Group에 문의해 주세요 : korea-sg-planning@lists.openchainproject.org)

2. 현대자동차 오픈소스 거버넌스 체계 구축(백송하, 현대자동차)

배경

• 2015년, OIN(Open Invention Network) 가입: 오픈소스에 대한 특허권 크로스 라이선싱 단체
  • Toyota, BMW, Honda 등이 참여하는 업계 컨소시엄에서 OIN 홍보를 많이 했음
• 2016년, Toyota에서 OIN 가입 후 1000만불 기부하여 Gold Member로 승인받음
• 2017년, 오픈소스 라이선스 전문교육을 받고 컴플라이언스에 대한 중요성 인식
• 2018년, TFT 신설

업계 특성

• 자동차에 포함되어 있는 소프트웨어 라인수가 1억줄 이상 (타 소프트웨어보다 더 비중이 큼)
• Supply Chain 업체로부터 3,000개 이상의 부품이 납품되며, 그 중에서 직접 납품하는 1차 업체만 하더라도 300개 정도 (2차, 3차로 납품하는 케이스가 많아서 Supply Chain이 복잡함)
• 많은 공급 업체들을 어떻게 관리할 것인가가 쟁점

현재 구축된 컴플라이언스 방안

• IP 조직 하에 오픈소스 관리 TFT 구성
  • 법률 대응 및 서드파티 협력사들에게 라이선스 정책 배포, 오픈소스 검증하고 라이선스 고지 담당
• 방향성
  • 1단계) 심플한 기준 수립
    • 해당 오픈소스 소스코드만 공개 및 고지하는 케이스
    • 수정 및 추가한 부분까지 공개하는 케이스
    • 결합된 모든 사용자 코드 공개 및 고지하는 세 가지 케이스에 대해 대응 방안 수립
  • 2단계) NIPA와 업무협약체결
    • NIPA측으로 업체들이 검증 요청하도록 하고, 현대자동차는 업체로부터 검증 성적서를 제공받음
  • 3단계) OPENCHAIN 프로젝트 활용
    • OPENCHAIN 프로젝트를 활용하여 업체에게도 오픈소스 컴플라이언스 인식 수준을 높이려고 함

이슈: 오픈소스와 특허

• 오픈소스도 특허로 보호 가능하고 출원과 등록 절차 필요함
• 라이선스 규정만 준수하면 되는 것이 아니라 제3자의 특허권에 문제가 없는지, 자사의 특허권 활용에는 영향이 없는지 확인
• 현대자동차는 OIN와 Linux System Definition을 통해 업계 관련 기술들을 크로스 라이선싱 하고 있음

Q&A

1. NIPA에 교육/검증을 요청하는 1,2차 업체들이 얼마나 있는지?

   금년부터 시작했기 때문에 아직은 20개 정도 업체에서 검증 요청함
   현재는 이미 출시했던 차종보다 신규 출시할 차종에 대해 오픈소스 검증을 진행 중

2. 특허 검증 방법은 무엇인지?

   소스코드를 매칭하는 툴은 따로 없음
   기술을 숙지하고 특허 툴에 검색어로 검색해서 특허를 침해하는지 체크하고 있음

3. 오픈소스와 관련된 특허 소송 이슈가 있었는지?

   소송 사례는 없었으나 분쟁이나 이슈들은 존재하는 것으로 알고 있음

4. TF는 남양 연구소에서 시작되었고, 전사로 확장할 예정
5. 업체 계약 시 특별한 프로세스가 있는지

   기술 개발 의뢰할 때 도면을 제공하면서 관련된 지켜야할 규정과 스펙을 업체에 제공함
   이때 오픈소스 관련 표준 스펙을 함께 제공해서 지키도록 하고 있음
   업체 계약 시 오픈소스 관련된 조항을 만들 계획이 있음

6. 기타: 전자가 OIN 가입하지 않은 이유

   2차에 걸쳐서 OIN 가입을 검토했었으나 결국은 가입하지 않음
   OIN 크로스 라이선싱 범위를 정할 때 어떤 범위까지 공유되어야 하는지 명확하지 않음
   특허를 많이 보유한 업체는 OIN 때문에 라이선스가 빠져나갈 수 있는 리스크가 있다고 판단

3. SCA(Software Composition Analysis) Market 동향 (황민호(Robin), 카카오)

SCA란?

• 보안, 라이선스 규정 준수를 발견하고 관리하기 위한 자동화된 프로세스
• SCA 관련 리서치들
  • Gartner 보고서 연구 결과
    • OSS 사용 시 가장 중요한 과제는 오픈소스 프로젝트의 장기적인 생존 가능성(1위), 오픈소스 보안 이슈(2위), 취약점(3위) 였음
    • SCA 도구 선택 기준
      1. 취약점 데이터 베이스: NVD 기반으로 취약점 데이터베이스 제공하는
      2. 개발자 지원: IDE, Repository 연동 코드 추가 전 오픈소스 평가 기능, 추천 기능 등이 있는지
      3. 오픈소스 라이선스 준수: 라이선스 정책을 설정할 수 있고, 라이선스 추적할 수 있는 기능이 있는지
      4. 응답 시간 단축: 취약점을 빠르게 감지하고 우선순위 결정할 수 있는지
      5. 보고서 발급
  • Forrester Wave 연구 결과
    • 2017년만 해도 SCA가 막 시작하는 단계였고, 2019년에는 기존 업체들이 리더 포지션으로 정착하고, 새로운 서비스들이 탄생하였음
  • G2 소프트웨어 평가 기관에 따르면
    • 1등은 Gitlab, 2등은 WhiteSource라고 함

SCA vs SAST
SCA는 오픈소스의 취약점과 라이선스 관리하는 툴이라면, SAST는 독점 코드의 결함 파악, 코드 생산 전에 취약점 탐지하는 툴

대표적인 SCA 툴 소개

• FOSSA
  • 초기 컨셉은 라이선스 준수 관리 툴로 시작되었으며, 2018년에 4명으로 프로젝트 시작
  • 2020년에는 오픈소스 취약점 관리까지 지원
  • 풍부한 데이터베이스가 있다고 함
• Snyk
  • FOSSA와는 반대로 오픈소스 취약점 관리 툴로 시작하였으며, 최근 라이선스 준수 관리까지 지원
• WhiteSource
  • Whitesource는 초창기부터 SCA툴을 제공하던 업체이며, 현재 관련 업체들 중 리더급으로 성장
  • Azure, Gitlab 등에 연계되어 있음
• SCA 업체들은 공통적으로 블로그와 같은 커뮤니티를 운영하여 다양한 정보 제공을 하고 있음

Q&A

1. SCA 라는 용어가 언제부터 나온 용어인지?

   이미 오래전부터 사용되어 왔으나 2017년부터 연구 결과에 본격적으로 SCA라는 명칭이 나온 것으로 보임

2. Github도 SCA라고 볼 수 있는지?

   오픈소스 식별은 가능하지만, 라이선스 식별이나 메타 정보를 제공하지는 않아서 SCA로 분류되지 않는 것으로 보임

3. SCA 블로그 목록 제공해줄 수 있는지?

   공유 예정
   많은 SCA 업체들이 블로그를 운영하고 있고, 퀄리티 높은 아티클을 많이 읽을 수 있음

4. Olive 전격 공개 (황민호(Robin), 카카오)

• Olive URL: https://olive.kakao.com
• 카카오 로그인 기반, Github 연동 필요
• 현재는 베타 버전만 공개한 상태이고, 기능 확장하여 정식 공개 예정
• 일부 모듈은 오픈소스로 공개 예정

5. Case Study

메일 참조

6. OpenChain KWG Update (장학성, SK텔레콤)

• KWG T-shirt 제작
  • 자체 디자인 제작 (Thanks to 소임)
  • 신청자 전원 무상 지급 완료 (Linux Foundation 지원)
  • 11월 내에 배송 완료
• ISO Standard PR 한국어 번역 완료
  • https://github.com/OpenChain-KWG/ISO-announce-translate
  • 기여자: 홍종호님(LG전자), 정윤환님(삼성전자), 김한주님(현대 MNSOFT), 김동민님(엔씨소프트), 진희두님(LG전자)
  • 아직 어색한 부분이 있어서, 가능한 자연스러운 번역이 되도록 많은 피드백 부탁드립니다! (github Issue 또는 PR)
• OpenChain Specification 2.1 한국어 번역
  • https://github.com/OpenChain-KWG/Specification-Translation-KR
  • 기여자: 홍종호님(LG전자)
  • 1차 번역은 완료됐지만, 어색한 표현이나 문장에 대한 의견이 필요합니다. 많은 기여 부탁 드립니다.
• 카카오/엔씨소프트 사내 교육자료 공개
  • 카카오 : https://openchain-project.github.io/OpenChain-KWG/blog/2020/11/24/kakao-training-material/
  • NCSOFT : https://openchain-project.github.io/OpenChain-KWG/blog/2020/11/23/oss-basic-training-slide/
• Planning Group 활동 시작 : https://openchain-project.github.io/OpenChain-KWG/subgroup/planning/
• 과학기술정보통신부 장관상 표창 수상 (공개SW 산업발전 유공자부문) : 장학성 - https://www.oss.kr/festival/award

기타: 앞으로 KWG 미팅 진행 방식을 어떻게 할까?

• 현재처럼 세션발표 형식으로 진행하는 것이 좋을지, 더 좋은 방안은 없을지?
  • 일본은 sub-group 모임이 많은데, 우리도 sub-group이나 스터디 그룹을 발전시켜보면 좋겠지만 코로나 상황이 진전되야 가능할 것
  • KWG 진행 방식에 대해 의견 있으시면 자유롭게 말씀해 주세요!
• Tooling Group 진행 방향 (LG전자 박원재)
  • https://openchain-project.github.io/OpenChain-KWG/subgroup/tooling/
  • 새로 컨택이 온 오픈소스 툴을 개인적으로 공부 중이며, 공부한 내용을 선 공유하면서 참여를 유도하고자 함
  • LG전자에서 Fossology를 개선해서 사용하고 있는 부분을 내부적으로 검토해서 KWG에서 공개하겠음

Photo Gallery

OpenChain News

https://www.openchainproject.org/featured/2020/12/09/openchain-korea-work-group-meeting-8-full-recording

8 - 2019

8.1 - 1st Meeting

Organizer

• LG Electronics

Intro

• Purpose: Linux Foundation의 OpenChain Project 소개 및 한국 기업 참여와 활용을 위한 교류회
• Scheduled : 2019-01-23 (수) 오후2시 - 5시
• Place : LG Electronics Seocho R&D Campus
• Article : openchain-workshop-in-korea-january-23rd-2019

Agenda

Attendees

• LG Electronics (12)
• SK telecom (1)
• Kakao (3)
• Hyundai Motors (4)
• Samsung Electronics (5)

Photo Gallery

8.2 - 2nd Meeting

Organizer

• Samsung Electronics

Intro

• Scheduled: 2019-06-12 (Wed) 2 pm-5pm
• Venue: 삼성전자 서울R&D캠퍼스(우면동) E타워 1층 107회의실 (Conference Room 107, E-Tower, Seoul R&D Campus Samsung Electronics (Umyeon-dong))

Agenda

Attendees

• KT (1)
• KTDS (2)
• LG Electronics (9)
• NCSOFT (2)
• SK telecom (1)
• Samsung Electronics (7)
• Kakao (5)
• Hyundai Motors (3)

Photo Gallery

8.3 - 3rd Meeting

Organizer

• SK telecom

Intro

• Schedule: 2019-09-04 (Wed) 3:00~5:00 pm
• Venue : 삼화타워 3층 Room 4 (Samhwa Tower 3F Room 4)

Agenda

Attendees

• KT
• KTDS
• LG Electronics
• SK telecom
• Line
• Samsung Electronics
• NCSoft
• Kakao
• Hyundai Motors
• Hyundai Mobis
• Hyundai MN Soft

Photo Gallery

8.4 - 4th Meeting

Organizer

• KTDS

Intro

• Schedule: 2019-12-02 (Mon) 2:00~5:00 pm
• Venue: Ktds Bangbae office, Room 207

Agenda

Case Study

• 주제 : Open Source Governance 조직 구성 (Theme : Open Source Governance Organization)

Attendees

• KTDS
• LG Electronics
• SK telecom
• SK holdings
• Samsung Electronics
• NCSoft
• Kakao
• Hyundai Mobis

Photo Gallery